3.　組織的安全管理措置

● 情報セキュリティ委員会を設け、個人データを含む情報全般のセキュリティの継続的な向上に努めている。

● 個人データの管理責任者と取扱者を定め、規律に従った取扱いを担保している。

● 個人データを含む情報資産の管理台帳を設け、取扱状況を確認している。

● 個人データを含む情報の漏えい事案に対応する計画を定め、報告の窓口を設けている。

● 個人データを含む情報の取扱状況に関する内部監査を実施している。

5.　物理的安全管理措置

● 個人データを取り扱う区域に関して、許可された者のみが入場できるように管理し、その権限を定期的に確認している。

● 個人データが含まれる電子媒体等は施錠された場所に保管して出納を管理し、個人データが含まれるサーバ機器は情報セキュリティを考慮した特定エリアに設置している。

● 個人データが含まれる電子媒体等を持ち運ぶ場合には、管理者の承認を得た上で、暗号化等の紛失に備えた対策を実施している。

● 不要となった個人データが含まれる電子媒体等は、その複写等も含めて、再読不可能な状態に廃棄している。

6.　技術的安全管理措置

● 個人データを取り扱う情報システムを使用できるアカウントを制限し、定期的にその棚卸しを行っている。

● 個人データを取り扱う情報システムを使用できるアカウントに関して、ID・パスワード等を用いた識別・認証を行っている。

● 個人データを取り扱う情報システムに対する外部からの不正アクセス等を防止するため、マルウェアへの対策やログの監視等を行っている。

● 個人データを取り扱う情報システムの使用に伴う漏えい等を防止するため、情報システム上で使用できるソフトウェアの管理や機密性の高い情報共有手段の整備等を行っている。